LINUX.ORG.RU

В каталоге Python Package Index нашли 6 вредоносных пакетов

 , , , ,


0

1

В каталоге Python Package Index нашли несколько пакетов со скрытыми майнерами. Проблемы были в пакетах maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib и learninglib, имена которых были придуманы в честь самого себя, а также похожими по написанию на популярные библиотеки (matplotlib) с расчётом, что пользователь ошибётся при написании или попросту перепутает название пакета и не заметит отличий. Пакеты были размещены в апреле под учётной записью nedog123 (другие подписи/ники: Marat Nedogimov и maratoff).

Вот небольшая статистика скачиваний за два месяца:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Суммарно выходит около 5000 раз, но учитывая зависимости речь скорее идёт о 2500 загрузках.

Вредоносный код был размещён в библиотеке maratlib, которая использовалась в остальных пакетах в форме зависимости. Сам код был скрыт с использованием самописной обфускации, не определяемой типовыми утилитами, и запускался при выполнении сборочного скрипта setup.py, который выполняется во время установки пакета. Далее с GitHub скачивался один из скриптов seo.sh, aza.sh, aza2.sh или aza-obf.sh, который уже загружал сам майнер Ubqminer или T-Rex.

>>> Подробности

★★★★

Проверено: xaizek ()
Последнее исправление: xaizek (всего исправлений: 5)

  1. Почему с dnf/apt сырцы не ставятся ? Я это к тому что с pypi как правило ставят колеса если только ты …
  2. А где все данные об аккаунте с гитхаба ?
mx__ ★★★★★
()

maratlib

Что-то вспомнилось, на терминалах самообслуживания под ПО OSMP (оно же QIWI) основной процесс назывался maratl.exe.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)

Ну, судя по дате обнаружения и заливки, нашли относительно быстро.

anonymous_sapiens ★★★★★
()

придуманы в честь самого себя

С чего вдруг решили, что это реальное имя?

no-such-file ★★★★★
()
Ответ на: комментарий от perl5_guy

И вам тоже хороших выходных

anonymous
()

Глобально и надежно. Или это про другой бейсик было?

ST
()

А сам пестон-вредонос не учитывается штоле?? Причём он не компутер ломает, а сразу мозг!

matumba ★★★★★
()

Кто из местных?

anonymous
()

Хорошо, что нашли. Плохо, конечно, что вообще допустили. Статические анализаторы не в почёте? В PHP их активно используют на сайтах.

anonymous
()
Ответ на: комментарий от luke

Подозреваю, что автор не татарин, а пытается перевести стрелки. Это ещё грешок за розжиг межнационалки.

anonymous
()

Ну хоть где-то ради разнообразия русские не виноваты :)

anc ★★★★★
()
Ответ на: комментарий от GP

Моцк ломается поцкаллом с ассемблерными вставками.

А от ц с асмом не ломается ? И что делать есть задачу можно решить только используя асм ? Я чей-то вспомнил времена дос, писал на сях с двумя плюсами, не то что бы повсеместно, но использовать асмовские вставки таки приходилось.

anc ★★★★★
()

зачем вообще работать, если можно сделать так и ничего не будет

bernd ★★★★★
()
Ответ на: комментарий от anonymous

это не нпм потому, что очень мало яваскриптеров, которые смотрят что внутри нпм.

bernd ★★★★★
()
Ответ на: комментарий от luke

Такие штуки обычно делают с левого виртуала. Например имея условное реальное имя Михаил Евгеньевич Гоцман, раскручивается какой-нибудь Ben Braun. Такому челу можно даже засветиться в нескольких крупных проектах, чтобы он что-то полезное покоммитил с этого «человека». А потом, когда все спокойны, заливается зараза в репу. Так что даже не факт что человек из РФ и знает русский язык.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от Mischutka

Банально можно присесть за троянчика, а сидеть не хочется, так что реальным именем не расписываются. Поди ещё и заливалось не с реального ip а с какого-то прокси/тора/ботнета/дырявого вайвая.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от Mischutka

Нет. Но обычно стрелки стараются переводить либо подальше, либо вообще случайным образом (чем случайнее тем лучше).

peregrine ★★★★★
()
Ответ на: комментарий от Mischutka

Флуд

Ты - татарин. А теперь докажи что нет. Чё докапался вообще? Зачем этот флуд? Задолбали регистранты, почему вас не трут за такое.

anonymous
()
Ответ на: Флуд от anonymous

Бремя доказательства лежит на утверждающем. Выше некий анонимус высказал своё подозрение, что злоумышленник «не татарин, а пытается перевести стрелки. Это ещё грешок за розжиг межнационалки».

На мою просьбу привести доводы в пользу данного подозрения анонимус ничего не привёл, зато появилось анонимное сообщение с предложением доказать, что я не татарин, и обвинениями, что я докопался и вообще развёл флуд.

Иными словами, я виноват в том, что некий анонимус заявил о своём подозрении, которое он сам же не в силах обосновать.

Mischutka ★★★★★
()
Ответ на: комментарий от anonymous

Подозреваю, что автор не татарин, а пытается перевести стрелки. Это ещё грешок за розжиг межнационалки.

Зато на русских можно, на них защита не распространяется

anonymous
()
Ответ на: комментарий от EugeneBas

Так а раньше было? Просто фанатеги питончика говорят обычно «как быстро отреагировали». А на конкурирующих языках «ко-ко, у них ошибка».

small-entropy
()
Ответ на: комментарий от EugeneBas

Как минимум, его пакеты должны вычистить. Кроме того, есть теоретическая вероятность забана irl. Но за майнеры вряд ли закроют.

CaveRat ★★
()
Ответ на: комментарий от small-entropy

хз, я первый раз с таким встретился в близкой области, до этого только слышал про node.js подобные штуки

EugeneBas ★★
()
Ответ на: комментарий от t184256

Сам код был скрыт с использованием самописной обфускации, не определяемой типовыми утилитами,

file * |grep -v ‘ASCII text’

Уже не ловит?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.